Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 1135 views
  • Users 0 members are here
Options
Suggested

[8.165][BUG][CLOSED] Astaro Endpoint Secuty Agent

wingman
Hi All

Even though there is not exit button on the application itself, Users are able to shutdown the application via task manager via shutting down the proceess.

Thanks
Parents
  • 0
    @Simon Shaw:

    Only on Windows Vista and Windows 7, only specially signed processes made by special companies (decided by Microsoft) can be protected. Otherwise 'evil' rootkit methods
    can be used to protect processes (by adding a hook on the TerminateProcess API). 
    These methods would be detected as threats by anti-virus software. The hooking method is
    actually used by anti virus products to protect their own processes. 
    A computer administrator could as well uninstall the agent to obtain full to his devices.

    @wingman:
    The name of the service is EPSecAgent. The reason that the policy didn't get enforced might be because of three things:
    a) You killed the EPSecAgent when you were using the administrator account
    b) You didn't wait long enough. The agent uses a logarithmic function for determining the frequency at which it contacts the ASG. If it's been running for a long time and nothing new happened on that machine, it can take up to half an hour to contact the ASG and retrieve new policies.
    c) Something went terribly wrong on the ASG server and the /var/mdw/scripts/epsecd daemon is not running anymore, hence nothing gets reflected from the ASG to the agents. If this it the case I'll need the full logs from /var/log/epsec
Reply
  • 0
    @Simon Shaw:

    Only on Windows Vista and Windows 7, only specially signed processes made by special companies (decided by Microsoft) can be protected. Otherwise 'evil' rootkit methods
    can be used to protect processes (by adding a hook on the TerminateProcess API). 
    These methods would be detected as threats by anti-virus software. The hooking method is
    actually used by anti virus products to protect their own processes. 
    A computer administrator could as well uninstall the agent to obtain full to his devices.

    @wingman:
    The name of the service is EPSecAgent. The reason that the policy didn't get enforced might be because of three things:
    a) You killed the EPSecAgent when you were using the administrator account
    b) You didn't wait long enough. The agent uses a logarithmic function for determining the frequency at which it contacts the ASG. If it's been running for a long time and nothing new happened on that machine, it can take up to half an hour to contact the ASG and retrieve new policies.
    c) Something went terribly wrong on the ASG server and the /var/mdw/scripts/epsecd daemon is not running anymore, hence nothing gets reflected from the ASG to the agents. If this it the case I'll need the full logs from /var/log/epsec
Children
No Data
Unfiltered HTML